六大商业银行网银安全综合评估
来源:中国电子政务网 更新时间:2007-08-10
    安全性是电子银行最大的考核要素,我国银行业的机构数量除了3家政策性银行和4家国有银行之外,还有代表性11家股份制商业银行和9家外资银行。其中11家股份制商业银行包括交行、中信、华夏、招商、光大、民生、浦东发展、深圳发展、渤海、广发、兴业。以下我们对有代表性的6家股份制商业银行网上银行安全性进行评估。
   
一、招商银行:安全性享有盛名
 
    招行网银在业内一直是享有盛名,它个人网上银行“一网通”已经成为该银行的招牌业务,一直受到网民们的喜爱,也成为其他网上银行的追赶对象。从目前的情况来看,“一网通”无论在功能、易用性和用户普及程度上都仍然是当仁不让的No.1。因此,安全性也成为十分必要的问题。
 
 
    招行个人网上银行分为大众版和专业版,表面上看两者的区别在于专业版功能更全,但其本质区别在于安全级别:大众版无需数字安全证书,专业版必须申请并安装了数字安全证书才能使用。 大众版的好处是无需到柜台办理任何手续以及不收取任何费用,只要你手中有招行一卡通,即可通过Internet马上进行操作。但是大众版的功能较简单,只能查询或同名项下同城账户划转资金。如果需要在进行自助缴费和网上支付,那就需要在网上进行申请才能使用。由于网上用于窃取用户密码的木马软件层出不穷,从安全角度考虑,笔者并不建议大家在大众版使用涉及对外支付的功能,用来查询账还可以。另外,需要提醒的是不能将查询密码为你的取款密码。
 
    大众版还有一个简单而有效的安全措施,条件是用户需要有手机或固定电话,并且已经在申请开通网银时进行了登记。这样当用户使用网银进行支付时,银行方面将会发送短信或者直接拨打电话给你,告知你此次支付的验证码,只有在网银中输入正确的验证码,才能完成整个支付过程。但是,要拥有这样的验证功能的前提是大众版在支付超过1000元的款项。
 
 
    招行网银专业版功能强大,采用证书+客户端,安全性极高。办理专业版,需要你带着一卡通银行卡和本人身份证到柜台申请,申请费用为5元。申请完成后你会获得一个授权码,你凭此在电脑上登陆并注册,会有一个“安全证书”保存在这台电脑上。每次登录专业版,该软件都会对你的证书信息进行在线认证,以确保不是他人冒用(没有证书是无法登录的)。招行网银证书是不允许备份在直接备份在硬盘上,只能备份U盘、移动硬盘等设备上,这也是为了网银的安全性考虑,以防他人漏取证书。有证书以及客户端存在,别人如果想盗用你存款,就首选要知道电子银行的登陆密码,掌握安装有证书的电脑,同时还要知道取款密码。即使高级的黑客软件和木马将三者都盗用成功,招行会用短信告知用户,让用户恢复证书。另外,专业版证书分成移动数字证书和文件证书两种,前者要收取U盘的工本费100元,后者可以不收费,但安全性和方便性都不如前者强。可以说,在不考虑移动证书的前提下。招行现在的电子银行安全性相对是最高的,也是最复杂了。
 
    除了数字证书的保障外,招行网银在安全性上还设有重重障碍。刚开通完毕的网银专业版还不具备网上支付功能,需要我们手工开启这项功能。在我们开启某项功能时,专业版都需要你提供验证信息,这样即使万一账号被盗也不会有太大的损失。例如卡卡转账,如果你没有开启这项功能,黑客就会把你专业版中的存款划到自己的银行卡中。再比如,用户可以自由设置“每日交易限额”一项中,根据自身需求设定一个每日允许支付的数额,这项功能也能够在一定程度上保证我们的存款安全,假设黑客进入了你的专业版网银进行消费,他每天最多只能消费你所设置的金额。如果你将限额设置得很低,那么即使账号被黑,损失也不会很严重。
 
    综述:招行在国内最早大力推广电子银行,可以说它是国内电子银行的鼻祖。无论是大众版还是专业版都具有重重的安全保障。特别在专业版转账,招行会强制客户关闭浏览器远程终端选项才能启动,因此不必担心被黑客远程操纵。招行网银非常适合专业人士使用。

二、交通银行:多版本选择的安全

 
    交通银行的个人网上银行分为三个版本,即普通用户版、手机注册版和证书认证版。
 
    如果客户办理的银行业务仅限于所持有的太平洋卡,可直接使用普通用户版。客户只要持有太平洋卡,即可直接登录使用,无须到银行柜面办理网银用户签约手续,使用时凭太平洋卡号和查询密码登录。普通版用户只可以享用账务查询、定活互转、外汇宝及基金超市等银行服务,而不支持卡卡转账、网上支付等功能。功能虽不多,但因为资金不外转,所以最安全,而且方便快捷。
 
 
    交行手机注册版有点像上面说的招行大众版绑定手机告知支付验证码的做法,它主是是使用了手机动态密码。手机动态密码是指银行以手机短信形式发送到客户预留手机上的6位随机密码。客户在网上银行相关页面输入手机动态密码和相关业务密码,认证网银用户身份,从而提高客户进行对外转账和其它重要交易的安全性。使用手机注册版,客户须凭本人有效身份证明和太平洋卡到交行网点柜面办理网银用户签约手续,并在注册时登记手机号码。使用时凭个性化网银用户名和网银密码登录,通过手机短信动态密码,实现客户身份认证,从而使卡卡转账更为安全、便捷,日累计最高转账限额为5万元。这种网银交易更有保障,因为网络黑客很难盗取手机密码,闯过“手机密码校验”这一关,所以,用户网络银行的安全也更有保障了。当然,设置了“手机密码校验”也并非万事无忧。需要注意的是,网银和手机捆绑之后,个人手机的密码一定得保护好。因为据说,一个地市级别的移动工作人员就能看到所在区域某手机的短信,如果移动的技术人员存有私心,那么这种方法的安全性就大打折扣。
 
 
    交行的证书认证版与大多数银行使用的数字证书一样,而交行移动证书保存在专用USBKEY中,作为网银证书用户唯一身份标识,使客户的网银交易更为安全可靠。使用证书认证版,客户须凭本人有效身份证明和太平洋卡到交行网点柜面办理网银用户签约手续,购买USBKEY。使用时客户凭下载了数字证书的USBKEY登录。证书认证机制安全可靠,支持卡卡转账,日累计最高转账限额为100万元。但使用证书认证版需要交纳一定的费用,USBKEY工本费100元/个,证书使用年费10元/年。
 
    综述:交行网银拥有三种版本,每一种版本都具有很强的安全性,其中以证书认证版安全指数最高,建议存款多的用户使用。使用手机注册版的用户除了管理好手机之外,最重要的是管理好取款密码。

三、光大银行:安全的获奖者

 
    中国光大银行个人网上银行服务同样分为大众版、专业版。
 
    申请网银大众版的程序很简单,只要拥有中国光大银行阳光卡(或活期一本通、信用卡),无需到银行柜台签约即可凭卡(账)号、交易密码在线申请中国光大银行个人网上银行大众版。光大银行这个大众版功能与招行大众版功能差不多,也是不支持卡卡转账或网上支付等功能。
 
 
    而专业版则可以享受网银的全部服务,这是由于它的安全性极高,当然办理手续也较为麻烦。拥有中国光大银行阳光卡(或活期一本通、信用卡)的客户,携带本人有效身份证件和卡折原件到中国光大银行任一网点柜台办理签约手续,填写《中国光大银行网上银行服务个人客户申请表》,自助输入网上银行登录密码,领取密码信封(通过密码信封中的参考号和授权码下载个人数字证书),客户就可以用客户号或已在网上银行中加挂的阳光卡卡号、活期一本通账号、信用卡卡号、网银登录密码进入中国光大银行个人银行专业版。专业版客户如果不使用数字证书,也可以登录大众版,享用个人网上银行大众版服务。光大银行与国内大多数银行一样采用权威第三方机构颁发的数字证书,保证了网上信息传输安全,防止他人对信息进行窃取或篡改。
 
    综述:在中国金融认证中心联合14家商业银行共同举办的“2006年放心安全用网银联合宣传年”活动中,光大银行网上银行凭借其“设计合理、操作简便”等突出特点,荣获了2006年度“中国最佳网上银行客户体验奖”。从此可见,光大银行网银安全性还是值得信赖的。

四、兴业银行:看动态密码和客户号最安全

 
    兴业网上银行分普通登录与证书登录两种,做法跟大多数银行一样。所不同的,兴业网银采用通过手机短信来确认最后密码的模式,具体做法是用查询号码登陆,转账时候,输入取款密码,同时兴业银行会发送一条短信到用户手机上,这个短信里面包含了一次性的验证密码。这种绑定手机的做法无疑对于网络黑客是最安全的,但是对于手机病毒也同样存在一定的危险性。不过,前提是盗密码者需要知道取款密码。另外,兴业银行为了实现安全和方便两种要求,选用了动态密码口令的方式,让用户进行身份的双重认证。用户毋须添加任何额外的硬件或软件程序、不用刻意改变原来的使用习惯,就能达到安全和简单方便的两种要求。 用户使用动态密码进行双因素认证的方式非常简单,登录进“外汇宝”业务后,用户输入静态密码和动态密码令牌中一分钟一变的动态密码,就可以安全地进行外汇交易。 这种方式的好处是,黑客即使取得消费者的密码和其他个人资料,只要用户手中的动态密码令牌没有丢失,资金安全就有保障。
 
 
    除此之外,登录兴业银行网上银行用的不是19位长度的卡号,而是一个8位长度的随机顺序的“客户号”。我们可以将兴业银行这种用“客户号”的出发点看作是安全的保障,因为银行卡你可能会随时不见,但是客户号就不会了,好好保存你的客户号比保护卡号更重要。
 
 
    综述:兴业电子银行,看紧动态密码和客户号比看紧手机更重要。因为手机时刻都有可能被盗,手机很容易被监听,建议用户使用兴业电子银行时候,每日的转账上限还是适当保守一点为好。

五、民生银行:新的保障更安全

 
    民生银行是国内首家通过国家信息安全测评中心安全评估的网上银行系统。安全方面,采用先进的多重加密、电子签名、CFCA数字证书认证、防伪站信息认证、民生网小博士等安全防范措施,配以账户即时通的提醒,建设了一套从安全策略到安全技术实施多层次的安全体系架构。民生银行网上银行也分普通版与专业版,与其它银行所不同的是普通版也能进行网上支付功能,可见民生银行对自身安全性的自信。
 
 
    特别需要关注的是,最近民生银行“移动理财装置”专利获批之后,网银安全性又有新的保障。通常客户接入网上银行,需要认证数字证书后接入账户。对账户进行理财管理时,需要再次进行安全认证、导入账户数据后方可操作,且多数理财软件存于计算机中,不便于客户随时使用。民生银行“移动理财装置”,整合了接入网银和理财软件的两次身份认证功能,只需要通过一次认证即完成接入网上银行和使用理财软件的安全认证,既保证了运用理财软件管理账户的安全性,也简化了多次认证的程序,同时存贮于移动设备,便于客户携带与使用。
 
    综述:民生银行“移动理财装置”是新使用的网银安全保障,到底是不是真正起到安全保障还是一个未知数。但是对于民生银行原有的网银安全性,许多用户还是投赞成票的,最重要的民生银行服务特别好,办理手续非常顺利。

六、华夏银行:与工行同量不同质

 
    与工行一样,华夏银行采用的也是128位SSL数据加密协议和CFCA颁发的数字证书。数字加密协议在用户和网银服务器之间建立了秘密而可靠的连接,确保信息传输的完整性和安全性。数字证书则保障了交易的完整性、机密性和不可否认性。
 
 
    华夏银行的业务安全措施是:证书采用IC卡或U盘存放,便于私密保管,且难以伪造;证书认证密码和系统登录密码双重保护;网上转账须经记账与授权多重确认;客户密码3个月未更换,系统自动提醒客户修改密码;密码连续错误多次,系统自动锁定,不允许登录防止恶意试探密码;企业可根据自身实际情况设定多种授权组合;客户的每一次点击操作,机房都能实时监控;完整的日志记载可为事后审计提供依据。
 
    另外,在安全管理上,华夏银行的网上银行专门建立了应急预案;成立专门的安全处提供技术保障;系统运行部门配备专门人员,并对系统进行实时监控和处理。
 
    综述:虽然华夏网银安全性保障很多跟工行相同,但由于工行是久经百战的“老将”,在防黑客、防钓鱼都非常有经验,对付紧急情况也有自己的一套方法,华夏不能与之相提并论。但是华夏网银对企业级用户安全保障还是十分不错的,而个人用户就很一般,因此不建议个人用户使用华夏网银。
 
    网上银行欺骗是国际性难题,即使在国外,也没有完全有效的技术手段,这是一个需要各方面共同努力的问题。从用户来说,要培养安全意识,严格按照银行提示操作,如果接到来历不明的短信或邮件时应有防范意识。从银行来说,除了采取足够的安全措施和内部控制手段外,还要利用各种渠道向用户讲解网银安全的知识,提醒用户注意事项。而司法部门则需对网上银行的欺诈行为做出严格的法律界定。总的来说,只有各方面配合,网上银行才有安全的时候。